#原创分享#AF在等保2.0中的配置(等保三级)
  

KYLE_K 33786人觉得有帮助

{{ttag.title}}
本帖最后由 KYLE_K 于 2020-3-26 11:06 编辑

    本文依照等保2.0(等保三级)序号,从上到下,将相关要求及配置汇总出来,希望可以给各位做相关项目实施提供一些帮助。
等保相关要求1:
335785e5c66846114b.png
相关配置说明:
a项要求:根据客户带宽情况,选用负载合适的设备即可,无需配置

b项要求:通过带宽保证配置满足其需求配置如下:
在对应网络接口开启“WAN接口”功能
注:没有开启“WAN接口”功能的网络接口,无法绑定带宽线路
流控配置.gif
c、d项要求:通过接口绑定与区域划分配置满足其需求,详细配置可参考#原创分享#AF在等保2.0中的配置(等保二级)中的相关内容。

e项要求:通过双机热备配置满足其需求,详细配置可参以下文档:

等保相关要求2:
314195e5df672caa90.png

相关配置说明:
b项要求:通过在SSL VPN模块开启硬件特征码认证,结合硬件特征码审批,可在三层网络实现安全准入,配置如下:
AF-SSLVPN-硬件特征码.png

AF-SSLVPN-硬件特征码管理.png

c项要求:通过用户认证+应用控制策略,防止内部非授权用户连接到外部网络,配置如下:
用户认证配置:
用户认证1.gif

用户认证2.gif

基于用户的应用控制策略配置:
应用控制策略.gif

网络对象选择用户/组
513205e5cb3511b5d0.png

等保相关要求3:
103455e5cbbee3f47c.png

相关配置说明:
a、b、c、d项要求:通过应用控制策略配置满足其需求,详细配置可参考#原创分享#AF在等保2.0中的配置(等保二级)中的相关内容。

e项要求:通过安全防护策略(URL过滤)结合应用控制策略满足其需求,配置如下:
定义URL安全防护模版,并引用URL安全防护模板:
849985e5cbe6ecdee8.png

584015e5cc136cdd5d.png

应用控制策略:
应用控制策略.gif

462415e5cc1bfc9479.png

等保相关要求4:
721275e5cc54aa19f5.png
相关配置说明:
a、b、c、d项要求:通过安全防护策略配置,满足其安全防护和攻击行为记录的需求,配置如下:
基于不同区域的安全防护策略.gif

d项报警需求:通过告警设置,满足其安全报警要求,配置如下:
安全告警.gif

等保相关要求5:
389405e5cca7040444.png
相关配置说明:
a项要求:通过安全防护策略配置满足其需求,详细配置可参考#原创分享#AF在等保2.0中的配置(等保二级)中的相关内容。

等保相关要求6:
527065e5ccca111452.png
相关配置说明:
a、b、c、d项要求:通过安全防护策略配置满足其需求,详细配置可参考#原创分享#AF在等保2.0中的配置(等保二级)中的相关内容。

d项要求:通过应用控制策略配置可以满足其要求,配置如下:
应用审计.gif

等保相关要求7:
363115e5db04966e49.png
相关配置说明:
a、b、c、d项要求:通过开启日志审计功能满足其需求,详细配置可参考#原创分享#AF在等保2.0中的配置(等保二级)中的相关内容。
注:上网审计必须开启“应用控制日志”,通过日志中心查询单独的上网审计日志,操作如下:
开启应用控制日志.gif

查询上网日志.gif

等保相关要求8:
887685e5dbd5b129ab.png
相关配置说明:
f项要求:通过“WEB应用防护”模块对攻击行为进行监控,详细配置参考以下文档:

通过邮件和短信对入侵行为报警,配置如下:
邮件告警.gif

邮件告警2.gif

短信告警.gif

等保相关要求9:
316725e5dc93bcfd2b.png
相关配置说明
a项要求:通过AF的ipsec VPN或者SSL VPN模块可以满足加密传输需求,配置可参考以下文档:
SANGFOR_NGAF_v6.8_SANGFORVPN测试文档.pdf(iipsec vpn配置)

等保相关要求10:
586025e5dce75a1e94.png
相关配置说明
b项要求:通过数据泄密防护功能,可禁止在未授权情况下,在系统中下载用户个人信息,在一定程度上保证用户信息安全,配置如下:
泄密防护.gif

等保相关要求11:
498105e5df244acf32.png
相关配置说明
c项要求:通过SNMP,将AF运行信息发送到网管监控平台进行集中监控,SNMP配置如下:
snmp.gif

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

薛龙龙 发表于 2020-3-11 19:40
  
首先感谢分享,帖子写的很用心,很详细,都是干活,解决了一部分人的疑惑,等保无非就是政府强制相关单位对网络安全配置的提升,重视网络安全,并提出了细致化的要求。
新手176114 发表于 2020-3-26 14:42
  
帖子很实用,对应等保的要求通过防火墙的策略配置去一一对应客户等保建设要求中的各个控制点要求,对于比较关注防火墙能满足哪些控制点可以有一个很好的谈资。
杨志刚_总部_产品运营 发表于 2020-3-31 21:37
  
【精华】nice!非常详细、实用的指导
Sangfor_闪电回_朱丽 发表于 2020-3-4 08:57
  
您好,感谢您参与社区原创分享计划7,您的文章已被收录到计划中,交由专家评审小组评审,文章标签在专家评审后设置,奖励将在活动结束后统一安排发放!发文越多,奖励越多,期待您更多的精彩文章哦!:感恩:
关于技术文章的管理流程,请参考:https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=90279
marco 发表于 2020-3-11 09:28
  
感谢楼主分享,不错不错。
朱墩2 发表于 2020-3-11 10:14
  
这个帖子太有用了。很多客户拉我们去 上架设备,说按照等保要求来配置,这个时候是很尴尬的,没人告诉我等保需要怎么配置的。这个帖子可以,以后这种要求就按照这个来了
大力水手 发表于 2020-3-11 19:16
  
很有参考意义,可以借鉴
新手741261 发表于 2020-3-11 19:22
  
感谢楼主,楼主厉害
新手612152 发表于 2020-3-11 20:13
  

GET新知识
新手031815 发表于 2020-3-11 20:21
  
学习到了
新手770264 发表于 2020-3-11 20:36
  
写的很详细认真,笔芯
发表新帖
热门标签
全部标签>
GIF动图学习
每日一问
信服课堂视频
技术笔记
项目案例
产品连连看
技术咨询
专家分享
新版本体验
在线直播
功能体验
技术圆桌
每日一记
原创分享
答题自测
安装部署配置
SANGFOR资讯
畅聊IT
上网策略
VPN 对接
SDP百科
排障笔记本
专家问答
安全攻防
日志审计
问题分析处理
标准化排查
设备维护
MVP
网络基础知识
升级
测试报告
流量管理
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
技术顾问
信服故事
功能咨询
终端接入
授权
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告

本版版主

397
100
61

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

新手58573...

本周分享达人

新手58573...

本周提问达人